0x1. App下载链接初探

• 内蒙麻将
  App下载链接
  

• 海南麻将
  App下载链接

  

• 福建麻将
  App下载链接
  
  **注**：福建麻将App这个链接地址是无法通过电脑访问的，内蒙和海南麻将App下载链接不存在这样的问题。

0x2. URL地址解析

1. 两者比较

通过对海南和内蒙两个App的URL下载地址进行比对，出现了地域名，如下图所示。

2. 替换参数1

通过海南麻将App的下载链接，修改地域名为：neimeng 后，可跳转到内蒙麻将App下载页面。

3. 替换参数2

通过内蒙麻将App的下载链接，修改地域名为：hainan 后，可跳转到海南麻将App下载页面。

4. 替换参数3

将地域名参数替换为：fujian（福建）后，可跳转到 福建麻将App 下载页面。类似的进行其它省份的尝试，没有相应的跳转。
地址1
地址2
**注**：以上两个URL地址和前面向客服获取的二维码扫描后提取的链接（福建麻将App下载链接）完全不一样

0x3. 域名 nslookup

1. llhn.shcdn.zhanhongwang.com

IP Addresses: 
          111.126.120.234 (内蒙古自治区赤峰市 电信)
          111.126.120.228 (内蒙古自治区赤峰市 电信)
          111.126.120.235 (内蒙古自治区赤峰市 电信)
          111.126.120.229 (内蒙古自治区赤峰市 电信)
          111.126.120.233 (内蒙古自治区赤峰市 电信)
----------------------------------------------------------------------------
          219.147.108.243 (内蒙古自治区乌海市 电信)
          121.56.84.230 (内蒙古自治区乌海市 电信)
          121.56.84.231 (内蒙古自治区乌海市 电信)
          121.56.84.228 (内蒙古自治区乌海市 电信)
          219.147.108.242 (内蒙古自治区乌海市 电信)
          121.56.84.229 (内蒙古自治区乌海市 电信)
----------------------------------------------------------------------------
          36.102.211.230 (内蒙古自治区呼和浩特市 电信)
          36.102.211.231 (内蒙古自治区呼和浩特市 电信)
Aliases: llhn.shcdn.zhanhongwang.com

1. llmj.cdn.idj66tdk.com

IP Addresses: 
          121.56.84.229 (内蒙古自治区乌海市 电信)
          121.56.84.228 (内蒙古自治区乌海市 电信)
          121.56.84.230 (内蒙古自治区乌海市 电信)
          121.56.84.233 (内蒙古自治区乌海市 电信)
          219.147.108.243 (内蒙古自治区乌海市 电信)
------------------------------------------------------------------------------
          111.126.120.230 (内蒙古自治区赤峰市 电信)
          111.126.120.228 (内蒙古自治区赤峰市 电信)
          111.126.120.229 (内蒙古自治区赤峰市 电信)
          111.126.120.235 (内蒙古自治区赤峰市 电信)
          111.126.120.232 (内蒙古自治区赤峰市 电信)
          219.147.108.240 (内蒙古自治区乌海市 电信)
-------------------------------------------------------------------------------
         36.102.211.236 (内蒙古自治区呼和浩特市 电信)
         36.102.211.230 (内蒙古自治区呼和浩特市 电信)

Aliases: llmj.cdn.idj66tdk.com

1. formal.push.thinkcode.top

IP Address: 62.234.196.131 (北京市北京市 腾讯云)

0x4. Apk签名校验

1. 内蒙麻将Apk指纹

所有者: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
发布者: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
序列号: 936eacbe07f201df
有效期为 Fri Feb 29 09:33:46 CST 2008 至 Tue Jul 17 09:33:46 CST 2035
证书指纹:
  MD5: E8:9B:15:8E:4B:CF:98:8E:BD:09:EB:83:F5:37:8E:87
  SHA1: 61:ED:37:7E:85:D3:86:A8:DF:EE:6B:86:4B:D8:5B:0B:FA:A5:AF:81
  SHA256: A4:0D:A8:0A:59:D1:70:CA:A9:50:CF:15:C1:8C:45:4D:47:A3:9B:26:98:9D:8B:64:0E:CD:74:5B:A7:1B:F5:DC
签名算法名称: SHA1withRSA
主体公共密钥算法: 2048 位 RSA 密钥

2. 湖南麻将Apk指纹

所有者: O=HaiNan
发布者: O=HaiNan
序列号: 4dc45508
有效期为 Tue Mar 13 20:47:05 CST 2018 至 Wed Feb 29 20:47:05 CST 2068
证书指纹:
  MD5: F8:AC:68:2C:C3:68:90:3E:B9:06:BD:DD:E6:95:A9:8A
  SHA1: F7:9B:44:51:69:62:E7:CD:82:10:6F:FA:50:65:18:DB:CD:E3:00:51
  SHA256: 63:D1:51:21:8C:52:A5:A2:08:0A:21:3B:40:4D:3F:CC:3C:22:EE:3E:A2:CB:F9:D1:C9:B7:3C:06:A1:E0:76:C4
签名算法名称: SHA1withRSA
主体公共密钥算法: 1024 位 RSA 密钥

3. 福建麻将Apk指纹

所有者: O=llfjmj, CN=llfjmj
发布者: O=llfjmj, CN=llfjmj
序列号: cf6150e
有效期为 Wed May 29 16:19:31 CST 2019 至 Thu May 16 16:19:31 CST 2069
证书指纹:
  MD5: 46:D0:AB:A5:C6:32:E3:03:4D:1D:CC:27:57:92:65:D6
  SHA1: CE:14:4C:9D:CA:D4:79:ED:34:6A:26:40:8B:56:79:69:62:24:02:58
  SHA256: 75:20:BC:9C:45:C9:03:BF:82:7A:4E:44:17:66:52:F2:8B:58:5F:B8:B4:BB:EC:28:A2:D7:20:3D:F4:BD:10:83
签名算法名称: SHA1withRSA
主体公共密钥算法: 1024 位 RSA 密钥

总结：经比较三个Apk的指纹信息，证明不是同源，排除同Apk不同服务线的可能性。

0x5. 抓包分析

① 六六麻将数据包分析，最后确定的游戏服务器IP；
  六六麻将，这里做分析思路：从三个手游里抓取的数据包进行分析后，为什么确定以下的IP是游戏服务器和账号验证服务器，进行解说：因为是游戏，协议当然是 TCP协议啦，从游戏开始运行 ——> 游戏更新 ——> 微信授权登录 ——>进入游戏，以上流程+抓取数据包的时间顺序进行跟踪分析，最后在相应的IP所在包里找到游戏运行时相关数据，判定为游戏服务器数据；账号身份验证的判定依据：在数据包中通过POST的方式向服务器发送了一个加密包，返回来的状态是 success，根据游戏流程判定是进行了相关的游戏登录认证工作，最终的域名解析是：adashbc.ut.taobao.com。

0x6. 求思路

[培训]科锐逆向工程师培训第53期2025年7月8日开班！